DFN-CERT-2012-0152 Mehrere Schwachstellen in der Bibliothek Libxml2 [Linux][Debian]

DFN-CERT-2012-0152 Mehrere Schwachstellen in der Bibliothek Libxml2 [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket libxml2 in Debian GNU/Linux 5.0 (lenny) vor Version
2.6.32.dfsg-5+lenny5
Paket libxml2 in Debian GNU/Linux 6.0 (squeeze) vor Version
2.7.8.dfsg-2+squeeze2
Paket libxml2 in Debian GNU/Linux 7.0 (wheezy) vor Version 2.7.8.dfsg-7
Paket libxml2 in Debian GNU/Linux unstable (sid) vor Version 2.7.8.dfsg-7

Betroffene Plattformen:

Debian GNU/Linux 5.0 (lenny)
Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Mehrere Schwachstellen in der Bibliothek libxml2 erlauben es einem Angreifer
mit Hilfe einer manipulierten XML-Datei einen Absturz des Programms zu
provozieren oder schlimmstenfalls beliebige Befehle mit dessen Rechten
auszufÃŒhren.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2011-3919: Heap Overflow Schwachstelle in libxml2

Wird in der Bibliothek libxml2 eine Entity-Referenz mit einem langen Namen
verarbeitet, so kann es bei der Anpassung der Puffergrö�e zu einem Buffer
Overflow auf dem Heap kommen, da die LÀnge des Entity-Namens nicht richtig
bei der Speicheranforderungsoperation berÃŒcksichtigt wird. Ein entfernter
Angreifer kann diese Schwachstelle ausnutzen, um einen Absturz des Parsers
auszulösen oder schlimmstenfalls beliebige Befehle mit den Rechten der
Anwendung auszufÃŒhren.

CVE-2011-3905: Denial of Service Schwachstelle in libxml2

Die Bibliothek libxml2 enthÀlt eine Denial of Service Schwachstelle, die auf
einem Off-by-one Fehler beruht. Ein entfernter Angreifer kann mittels einer
prÀparierten XML-Datei eine Anwendung, die libxml2 verwendet, zum Absturz zu
bringen.

CVE-2011-0216: Buffer Overflow Schwachstelle in der Bibliothek libxml2

Die Bibliothek libxml2 enthÀlt einen Buffer Overflow auf dem Heap, welcher
auf einem Off-by-one Fehler beruht. Ein entfernter Angreifer kann mittels
einer prÀparierten XML-Datei eine Anwendung, die libxml2 verwendet, zum
Absturz zu bringen oder möglicherweise Code mit den Rechten der Anwendung
auszufÃŒhren.

CVE-2011-2821, CVE-2011-2834: Zwei Schwachstellen in der libxml2 Bibliothek

In der libxml2 Bibliothek werden bei der Verarbeitung eines entsprechenden
XPath-Ausdrucks bzw. im Umfeld der XPath-Behandlung Speicherbereiche
mehrfach freigegeben (“Double Free”). Ein entfernter Angreifer kann diese
Schwachstelle ausnutzen, um das Programm, welches die Bibliothek verwendet,
zum Absturz zu bringen oder weitere, nicht nÀher beschriebene, Angriffe
durchzufÃŒhren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0152/

Das Hersteller Advisory:
http://www.debian.org/security/2012/dsa-2394

Schwachstelle CVE-2011-0216:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0216

Schwachstelle CVE-2011-2821:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2821

Schwachstelle CVE-2011-2834:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2834

Schwachstelle CVE-2011-3905:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3905

Schwachstelle CVE-2011-3919:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3919

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben